Honeyd

Honeyd — це невеликий демон, що створює віртуальні хости в мережі, які можуть бути налаштовані для запуску довільних завдань в певних операційних системах. Honeyd дозволяє окремому хосту отримувати декілька адрес по локальній мережі для мережевої імітації, а також підвищує інформаційну безпеку, надаючи механізми для виявлення та оцінки загроз, стримує супротивників, приховуючи реальні системи в середині віртуальних систем.

Honeyd отримав свою назву завдяки здатності бути використаним як приманка Honeypot.

Механізми дії

Основною метою використання Honeyd є виявлення неавторизованої діяльності всередині локальної мережі організації. Honeyd спостерігає за всіма невживаними IP-адресами, при цьому будь-яка спроба під'єднання до такого IP-адресу розглядається як неавторизована або зловмисна активність. Тому, коли відбувається спроба підключення до одного з них, Honeyd автоматично визначає приналежність невживаної IP-адреси, і починає досліджувати зломщика.

Цей підхід до виявлення має кілька переваг порівняно з традиційними методами:

Honeyd легко встановлювати і обслуговувати;
Honeyd виявляє не тільки відомі атаки, але також невідомі;
Honeyd видає сигнал тривоги тільки в разі реальної атаки, ймовірність помилкового сигналу зведена до мінімуму.

Honeyd також надає і таку можливість Нoneypot як емулювання операційної системи на рівні ядра. Внаслідок того, що зломщики часто віддалено визначають тип операційної системи, використовуючи такі утиліти, як Nmap або Xprobe, а Honeyd використовує базу відбитків утиліти Nmap, то можлива і підробка відповідей будь-якої операційної системи, яку необхідно емулювати. Ця здатність Honeyd використовується для дослідження спроб злому систем.

Підсистема віртуалізації

Honeyd підтримує задачі віртуалізації, виконуючи додатки Unix як підсистем віртуального простору IP-адрес у вже налагодженій пастці Honeypot. Це дозволяє будь-якому мережному додатку динамічно пов'язувати порти, створювати TCP і UDP з'єднання, використовуючи віртуальну IP-адресу. Підсистеми перехоплюють мережеві запити і перенаправляють їх в Honeyd. Додатковою перевагою такого підходу є можливість розстановки приманок для створення фонового трафіку, наприклад, запит веб-сторінок і читання електронної пошти і т.і.

WinHoneyd

WinHoneyd заснована на Honeyd версії для Unix/Linux Platform, розробленої Niels Provos. WinHoneyd здатна моделювати великі мережеві структури з різними операційними системами на одному хості.

Джерела

Галатенко В. А. Стандарти інформаційної безпеки. — М .: Інтернет-університет інформаційних технологій, 2006. — 264 с.
Щербаков А. Ю. Сучасна комп'ютерна безпека. Теоретичні основи. Практичні аспекти. — М: Книжковий світ, 2009. — 352 с.
Niels Provos, Thorsten Holz. Virtual Honeypots: From Botnet Tracking to Intrusion Detection (Paperback). — 2007 с.

Посилання

Developments of the Honeyd Virtual Honeypot.netVigilance.
Разумов М.Установка honeypot на прикладі OpenSource Honeyd.Мережеві рішення.
WinHoneyd

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.